SVG 文件构成新型网络钓鱼威胁

通过电子邮件进行网络钓鱼攻击的犯罪分子加大了对一种旨在绕过现有反垃圾邮件和反网络钓鱼保护的新威胁载体的滥用：使用一种名为 SVG 的图形文件格式。

此类攻击始于带有 .svg 文件附件的电子邮件，于去年年底开始蔓延，自 1 月中旬以来显著增加。

该文件格式旨在作为一种在计算机上绘制可调整大小的矢量图像的方法。默认情况下，SVG 文件在 Windows 计算机上的默认浏览器中打开。但 SVG 文件不仅仅是由二进制数据组成，就像我们更熟悉的 JPEG、PNG 或 BMP 文件格式一样。SVG 文件包含 XML 格式的文本指令，用于在浏览器窗口中绘制图片。

合法 SVG 文件源的内容以及缩略图

但是，由于 SVG 图像可以在浏览器中本地加载和渲染，因此它们还可以包含锚标记、脚本和其他类型的活动 Web 内容。威胁行为者以这种方式滥用文件格式。攻击中使用的 SVG 文件包含一些绘制非常简单的形状（例如矩形）的指令，但也包含链接到其他地方托管的网页的锚标记。

恶意 SVG 链接到 Google Docs 文件

当不熟悉该格式的人双击电子邮件中的附件时，他们的计算机会在浏览器中打开 SVG 文件。浏览器会在新选项卡中呈现矢量图形和锚标记。

一个简单的恶意 SVG 将收件人的电子邮件和一些文本热链接到钓鱼页面

如果目标点击 SVG 文件中嵌入的链接，浏览器就会打开该链接，这必然会导致一种社会工程手段，旨在引诱目标陷入需要登录帐户的境地。

SVG 网络钓鱼攻击中使用的社会工程技巧

我们看到的主题行和消息使用了许多在一般网络钓鱼攻击中常见的比喻。

正在使用的模式之一断言附件是需要签名的法律文件。邮件主题可以使用以下行之一或类似内容：

• 已完成：[随机字符]_合同和协议_[数字] REF ID [数字]

• 签署时间：2025 年养老金登记协议（2025 年 1 月）。

• 新语音邮件 [收件人的电子邮件用户名]

• 您有一条新的语音邮件

• 来自 [电子邮件用户名] 的新语音邮件

• 新供应商 PO#[数字]（提交编号：[随机字符]，日期：[日期]/Jan/2025）

• TT-[数字] 已批准

• XeroxVersaLink_[随机字符]-2025-01-[日期]_Contract_[随机字符].pdf

• 健康与奖金福利登记 -Ref:-br#[numbers]，日期：[date]/Jan/2025

• 付款通知 – 参考：/ RFQ 优先付款 / 客户参考：

• [电子邮件用户名] 的 KPI 审查和佣金发布（参考：[数字]，日期为 [星期几]，[日期]）。

• 重要提示：保存或打印您的最终文件 审核文件完成情况——请确认或修改#BookingRef-[随机字符]

• 付款确认 – SWIFT [随机字符].pdf

• 您的汇款收据传真-[日期]/2025 [时间]联系人-[电子邮件地址]

• 需要电子签名：通过电子文档提交资本融资文件参考-[随机字符]

• 操作：扫描数据：分发协议供您审阅和签名。消息 ID：#[随机字符]

• 收件人：录音 REC#[numbers].wav 抄本 [date] 2025 年 1 月 $[random characters]

许多知名品牌和在线服务都遭受到这些攻击，其中包括：

• DocuSign

• 微软 SharePoint

• Dropbox

• 谷歌语音

• RingCentral

这些邮件的正文内容同样很简单，尽管它可能包含邮件正文中收件人/目标的电子邮件用户名（地址中 @ 符号之前的部分）。

附在伪造的“传真通知”电子邮件中的恶意 SVG

攻击如何进行

当目标收到带有 SVG 附件的电子邮件并打开它时，除非他们已经使用其他程序来处理 SVG 文件，否则该文件会在默认浏览器中打开。

这些恶意 SVG 文件中最简单的包含一行或几行超链接文本，将电子邮件用户名添加到短语“单击打开”或“单击下面的链接收听语音邮件”的前面。

该链接指向一个隐藏在 CloudFlare 验证码门后面的钓鱼页面。选中复选框以证明您是人类，然后您将被重定向到由钓鱼团伙运营的页面，该页面本身会构建一个真实的 Office365 登录对话框，因此它可以在窃取电子邮件和密码的同时对其进行验证。

CAPTCHA 保护钓鱼网站

另一种用于拦截钓鱼网站的 CAPTCHA 页面

然而，我们还发现了更复杂的文件。其中一个版本在“svg”中嵌入了指向远程图像的链接。这些图像托管在攻击者控制的另一个域上。

SVG 包含一个实时链接，指向一个类似于托管在其他地方的 SharePoint 通知的光栅图像

嵌入图像有多个不同版本，设计看起来像 DocuSign 或 SharePoint 页面。单击图像上的任意位置都会加载 CAPTCHA 门控的钓鱼页面。另一个版本会从 Google Doc 加载图像。

“LegalSkillsTraining” 网站仅托管用于 SVG 网络钓鱼活动的图像

这些恶意 SVG 中最复杂的是包含整段文本，这些文本似乎是随机从维基百科文章中截取的。这些文本嵌入在 SVG 源代码中，但被注释掉，因此不会显示在屏幕上。

维基百科条目填充了此恶意 SVG 中的空间，其中还包含 JavaScript

另一个 SVG 中还存在一段精心设计的 JavaScript，即使用户没有点击任何热链接内容，也会在短暂延迟后自动加载网络钓鱼页面。

SVG 的“RaccoonClient”版本会在延迟后自动加载钓鱼页面

所有钓鱼页面均托管在攻击者控制的域上。如前所述，几乎所有页面都使用 CloudFlare CAPTCHA 进行门控，以防止自动访问。这些网站会从login.live.com预取 Office365 登录对话框的内容，并向目标呈现 O365 用户熟悉的所有预期动画。

钓鱼页面的源代码显示，它正在页面内的一个框架内加载 Microsoft 登录内容，该框架用于捕获击键

在某些情况下，脚本会使用目标的电子邮件地址预先填充登录对话框，该地址已通过嵌入在 SVG 文件中的链接传入查询字符串。iFrame 中的“EventListener”JavaScript 会在用户输入表单时捕获所有输入内容。

在我们对实时网站进行的测试中，大多数网站都会立即捕获文本输入并将其直接泄露到托管登录对话框所在的 iFrame 的域中。在少数情况下，我们发现凭据会同时传输到多个网站。

其中一个收到泄露数据的外部网站是“VirtualPorno”，该网站没有任何此类数据，但确实有包含网络钓鱼脚本的开放目录

一个会话甚至使用消息服务的 API 将凭据传递给 Telegram 机器人。

SVG 网络钓鱼页面将数据泄露给 Telegram 机器人

一周内，我们发现钓鱼页面变得越来越复杂。设计非常简陋的页面开始变得更加干净，例如这个“语音邮件”页面。

“语音邮件”下载链接要求输入密码。目标的电子邮件地址已预先填写。

我们还发现一些网络钓鱼页面精心模仿了 Google Voice 等品牌。

伪造的 Google Voice 登录页面还嵌入了目标用户的电子邮件地址以及其雇主组织的名称。

我们最终找到了针对不同语言的版本，这些版本基于收件人的顶级域名。例如，发给日本学术机构目标的电子邮件及其嵌入的 SVG 都是用日语制作的。这导致 Dropbox 登录屏幕的模拟看起来非常逼真，也本地化为日语。

伪造的日语 Dropbox 登录信息提示目标下载语音邮件

其中一个 SVG 文件似乎试图利用目标自身网络上的网络驱动器。它包含 Microsoft 网络路径，而不是 URL。

“共享文件”链接触发了 HTML 文件的下载，打开后会生成一个页面，看上去背景是一份模糊的 PDF 文档。

本地 HTML 文件提示用户单击“打开”按钮

但在测试时，浏览器抛出了一条错误消息，表明该网站正尝试在 Windows 资源管理器中打开本地网络路径。

错误消息表明它试图打开的不是网页，而是本地网络路径

页面源代码似乎想要打开“trycloudflare.com”下的网络路径，但未能成功传递嵌入的硬编码用户名和密码。

包含硬编码用户名和密码的网络路径

最后，我们发现的另一个 SVG 文件似乎包含大量以 base64 编码的数据。当我们解码数据时，我们发现它是一个 Zip 存档，包含两个文件。

包含 base64 数据 blob 的 SVG

Zip 文件中压缩了两个文件，一个受密码保护，另一个则没有。受密码保护的文件是 Windows 恶意软件可执行文件。未受保护的文件是纯文本文档，奇怪的是，其中包含存档中另一个文件的密码。

该 zip 文件包含一个受密码保护的可执行文件和一个未受保护的文本文件，其中包含另一个文件的密码

这是我第一次看到 Zip 密码保护软件将密码嵌入 Zip 本身。但事实上，它确实有效。

恶意软件可执行文件压缩的文本文件中的密码

该文件未压缩，是我们目前检测为 Troj/AutoIt-DHB 的恶意软件。它是一个 AutoIt 脚本，用于设置并安装名为 Nymeria 的击键记录器，所有操作都由目标双击表面上是图像文件的内容完成。

受害者悲痛万分

恶意 SVG 文件似乎旨在逃避传统端点或邮件保护工具的检测。然而，分析师根据这项研究的工作开发了一种检测签名，用于我们观察到的各种武器化文件。该检测 Cxmail/EmSVG-C 现已在 Sophos Central Email 中上线。

对于普通人来说，有几件事可以让你电脑免受这种威胁。首先，你可以找到一个真正的 SVG 图形文件，下载它，然后指示 Windows 始终在记事本（或其他非浏览器程序）中打开它，而不是在默认浏览器中打开它。

为此，您只需将真正的 SVG 图形（如此图形）下载到您的桌面即可。右键单击该文件，然后选择“打开方式 -> 选择其他应用” - 选择非浏览器（如记事本）并填写“始终使用此应用打开 .svg 文件”复选框。

首先选择另一个应用程序...

...然后选择一些应该打开它而不是浏览器的良性程序，然后选中“始终使用此应用程序”

即使将来您不小心点击了恶意 SVG，它也只会在记事本中打开，从而为 (可能) 被网络钓鱼设置了另一个障碍。(如果在某个时候您发现需要使用真正的 SVG 文件，请再次执行相同的步骤，并选择您计划使用的图形应用程序。)

此次攻击中加载的钓鱼页面显然也不托管在微软的正常网站上。只需查看浏览器地址栏中的 URL，就足以发现当您加载带有 .ru 顶级域名的页面时，您访问的不是 SharePoint 或 DocuSign。

你的第一个线索是 .ru

还有其他线索，例如发票或其他消息似乎来自以前从未向目标发送过电子邮件的电子邮件帐户，并且缺少联系信息等详细信息（在某些情况下，甚至没有任何消息正文）。

我希望你的律师在给你发合同时不要什么都不写

因此，对可疑邮件保持敏锐的、批判性的眼光可能是最好的网络钓鱼预防措施

指标

此威胁的入侵指标已发布到我们的 Github 存储库https://github.com/sophoslabs/IoCs/blob/master/20250205_SVGspam.csv。已在 Central Email、SFOS 和一些终端产品中添加了对垃圾邮件附件子类型 (CXmail/EmSVG-C) 的检测，以及对恶意 SVG 附件 (Troj/XMLPh-A、Troj/XMLPh-E、Troj/XMLPh-F、Troj/XMLDrp-AJ、Troj/XML-AV 和 Troj/XMLDl-K) 的基于签名的检测。

 致谢

Sophos X-Ops 感谢邮件安全团队的 Brett Cove 和 Fan Ho，以及 SophosLabs 的 Krupa Gajjar、Rutvik Panchal、Khushi Punia、Gyan Ranjan、Purva Shah、Kafil Ahmed Shaikh、Devang Sharma、Simran Sharma、Aaditya Trivedi 和 Amey Vijaywargiya。

原文始发于微信公众号（Ots安全）：SVG 文件构成新型网络钓鱼威胁